阅读历史 |
首 页 书 库 全本 搜索
  1. 首页
  2. 女生耽美
  3. 天擎
  4. 黑客作者必读资料2

黑客作者必读资料2(1 / 2)

加入书签

异常检测

在异常检测中,观察到的不是已知的入侵行为,而是所研究的通信过程中的异常现象,它通过检测系统的行为或使用情况的变化来完成。在建立该模型之前,先必须建立统计概率模型,明确所观察对象的正常情况,然后决定在何种程度上将一个行为标为“异常”,并如何做出具体决策。

异常检测只能识别出那些与正常过程有较大偏差的行为,而无法知道具体的入侵情况。由于对各种络环境的适应性不强,且缺乏精确的判定准则,异常检测经常会出现虚警情况。

异常检测可以通过以下系统实现。

()自学习系统

自学习系统通过学习事例构建正常行为模型,又可分为时序和非时序两种。

(2)编程系统

该类系统需要通过编程学习如何检测确定的异常事件,从而让用户知道什么样的异常行为足以破坏系统的安全。编程系统可以再细分为描述统计和缺省否认两种。

异常检测ids分类如表所示。

2滥用检测

在滥用检测中,入侵过程模型及它在被观察系统中留下的踪迹是决策的基础。所以,可事先定义某些特征的行为是非法的,然后将观察对象与之进行比较以做出判别。

滥用检测基于已知的系统缺陷和入侵模式,故又称特征检测。它能够准确地检测到某些特征的攻击,但却过度依赖事先定义好的安全策略,所以无法检测系统未知的攻击行为,从

而产生漏警。

滥用检测通过对确知决策规则编程实现,可以分为以下四种:

()状态建模:它将入侵行为表示成许多个不同的状态。如果在观察某个可疑行为期间,所有状态都存在,则判定为恶意入侵。状态建模从本质上来讲是时间序列模型,可以再

细分为状态转换和ri,前者将入侵行为的所有状态形成一个简单的遍历链,后者将所有状态构成一个更广义的树形结构的ri。

(2)专家系统:它可以在给定入侵行为描述规则的情况下,对系统的安全状态进行推理。一般情况下,专家系统的检测能力强大,灵活性也很高,但计算成本较高,通常以降低

执行度为代价。

(3)串匹配:它通过对系统之间传输的或系统自身产生的文本进行子串匹配实现。该方法灵活性欠差,但易于理解,目前有很多高效的算法,其执行度很快。

(4)基于简单规则:类似于专家系统,但相对简单一些,故执行度快。

滥用检测ids分类如表2所示。

3混合检测

近几年来,混合检测日益受到人们的重视。这类检测在做出决策之前,既分析系统的正常行为,同时还观察可疑的入侵行为,所以判断更全面、准确、可靠。它通常根据系统的正

常数据流背景来检测入侵行为,故而也有人称其为“启式特征检测”。

l从数据挖掘得到启示,开出了一个混合检测器rir。它并不为不同的入侵行为分别建立模型,而是先通过大量的事例学习什么是入侵行为以及什么是系统的正常

行为,现描述系统特征的一致使用模式,然后再形成对异常和滥用都适用的检测模型。

根据系统特征分类

作为一个完整的系统,ids显然不应该只包括检测器,它的很多系统特征同样值得认真研究。为此,将以下一些重要特征作为分类的考虑因素。

检测时间:有些系统以实时或近乎实时的方式检测入侵活动,而另一些系统在处理审计数据时则存在一定的延时。一般的实时系统可以对历史审计数据进行离线操作,系统就能

够根据以前保存的数据重建过去生的重要安全事件。

2数据处理的粒度:有些系统采用了连续处理的方式,而另一些系统则在特定的时间间隔内对数据进行批处理操作,这就涉及到处理粒度的问题。它跟检测时间有一定关系,但二

者并不完全一样,一个系统可能在相当长的时延内进行连续数据处理,也可以实时地处理少量的批处理数据。

3审计数据来源:主要有两种来源:络数据和基于主机的安全日志文件。后者包括操作系统的内核日志、应用程序日志、络设备(如路由器和防火墙)日志等。

4入侵检测响应方式:分为主动响应和被动响应。被动响应型系统只会出告警通知,将生的不正常情况报告给管理员,本身并不试图降低所造成的破坏,更不会主动地对攻击

者采取反击行动。主动响应系统可以分为两类:

()对被攻击系统实施控制。它通过调整被攻击系统的状态,阻止或减轻攻击影响,例如断开络连接、增加安全日志、杀死可疑进程等。

(2)对攻击系统实施控制的系统。这种系统多被军方所重视和采用。

目前,主动响应系统还比较少,即使做出主动响应,一般也都是断开可疑攻击的络连接,或是阻塞可疑的系统调用,若失败,则终止该进程。但由于系统暴露于拒绝服务攻击

下,这种防御一般也难以实施。

5数据收集地点:审计数据源可能来自某单一节点,也可能来自于络中多个分布式节点。

数据处理地点:审计数据可以集中处理,也可以分布处理。

7安全性:指系统本身的抗攻击能力。

八互操作性:不同的ids运行的操作系统平台往往不一样,其数据来源、通信机制、消息格式也不尽相同,一个ids与其他ids或其他安全产品之间的互操作性是衡量其先进与否的

一个重要标志。

系统特征ids分类如表3所示。

根据体系结构分类

按照体系结构,ids可分为集中式、等级式和协作式三种,如表4所示。

集中式。这种结构的ids可能有多个分布于不同主机上的审计程序,但只有一个中央入侵检测服务器。审计程序把当地收集到的数据踪迹送给中央服务器进行分析处理。但这

种结构的ids在可伸缩性、可配置性方面存在致命缺陷:第一,随着络规模的增加,主机审计程序和服务器之间传送的数据量就会骤增,导致络性能大大降低;第二,系统安

全性脆弱,一旦中央服务器出现故障,整个系统就会陷入瘫痪;第三,根据各个主机不同需求配置服务器也非常复杂。

2等级式。它用来监控大型络,定义了若干个分等级的监控区,每个ids负责一个区,每一级ids只负责所监控区的分析,然后将当地的分析结果传送给上一级ids。这种结构仍

存两个问题:先,当络拓扑结构改变时,区域分析结果的汇总机制也需要做相应的调整;第二,这种结构的ids最后还是要把各地收集到的结果传送到最高级的检测服务器进

行全局分析,所以系统的安全性并没有实质性的改进。

3协作式。将中央检测服务器的任务分配给多个基于主机的ids,这些ids不分等级,各司其职,负责监控当地主机的某些活动。所以,其可伸缩性、安全性都得到了显著的提高,

但维护成本却高了很多,并且增加了所监控主机的工作负荷,如通信机制、审计开销、踪迹分析等。

dz

全称di1iaridz隔离区或非军事化区。该功能主要是为了解决安装防火墙之后外部络不能局域服务器的问题,比如f服务器、视频会议、络游戏等,dz其

实就相当于一个络缓冲区,通过该区域可以有效保护内部络。目前,市场上的防火墙一般都提供dz端口。

v

全称virua1rivar虚拟专用络。它是指在专用和公共络比如ir上创建的临时的、安全的专用络连接,又称为“隧道”,并不是真的专用络。在防

火墙中使用v功能可以创建临时连接,在络中进行数据的安全传输。目前,大部分防火墙产品都该功能。

si

全称safu1is状态封包检测。防火墙通过该功能可以过滤掉一些不正常的包,防止恶意攻击,比如ds攻击。

控制

通过防火墙的控制功能可以对内的计算机进行限制,比如限制的ir站,限制使用的端口号,这样可以保证局域的安全性

络术语

什么是vi

vivvrir1是一种以i电话为主,并推出相应的增值业务的技术。vi最大的优势是能广泛地采用ir和全球i互连的环境,提供比传统业务

更多、更好的服务。vi可以在i络上便宜的传送语音、传真、视频、和数据等业务,如统一消息、虚拟电话、虚拟语音传真邮箱、查号业务、ir呼叫中心、ir

呼叫管理、电视会议、电子商务、传真存储转和各种信息的存储转等。

2什么是关?

关gaay又称间连接器、协议转换器。关在传输层上以实现络互连,是最复杂的络互连设备,仅用于两个高层协议不同的络互连。关的结构也和路由器类似

,不同的是互连层。关既可以用于广域互连,也可以用于局域互连。

3什么是守?

守:是对络端终(如电话)关等呼叫和管理功能,它是vi络系统的重要组成部分。

4什么是公?

公就是普通电路交换,即现在的通,电信,铁通等架设的骨干及分支络。

5什么是软交换?

软交换是络演进以及下一代分组络的核心设备之一,它独立于传送络,主要完成呼叫控制、资源分配、协议处理、路由、认证、计费等主要功能,同时可以向用户提供

现有电路交换机所能提供的所有业务,并向第三方提供可编程能力。

何为络传真?

电子传真系列业务是基于s和互联络,整合了电话、智能和互联技术开的增值服务。传真文件以图形格式存储,用户可以通过传真机向互联传真信息存储络

送传真信息,通过计算机或者传真机收取传真。

7什么是h3?

h3是国际电信组织iu-所制定媒体dia在分封路r上的传输标准。

八什么是vigaay?

vigaay意指vi与传统s路界接并转换相关协定的设备。

9什么是viria1?

viria意指vi路上的终端设备﹝如:ih,…﹞。

什么是gar

gar是一种sfsih,负责vi路上的讯号交换及控制功能。其功能类似传统s上的交换机。

什么是si协议

si(sssiiiar1)是由if定义,基于i的一个应用层控制协议。由于si是基于纯文本的信令协议,可以管理不同接入络上的会晤等。会晤可以是终

端设备之间任何类型的通信,如视频会晤、既时信息处理或协作会晤。该协议不会定义或限制可使用的业务,传输、服务质量、计费、安全性等问题都由基本核心络和其它协议

处理。si得到了微软、l、等厂商及if和3g等标准制定机构的大力。si的络将提供一个桥,以扩展向互联和无线络的各种设备提供融合业务能力。这将

允许运营商为其移动用户提供大量的信息处理业务,通过s互通能力与固定用户和2g无线用户交互。si也是在3gr5r版本中使用的信令协议,因此可以保护运营商目

前的投资而及具技术优势和商业价值。

2协议基本概念

h24八协议是2年由iu-第工作组提出的媒体关控制协议,它是在早期的协议基础上改进而成协议是用于连接与g的关控制协议,应

用于媒体关与软交换之间及软交换与h24八/g终端之间,是软交换应的重要协议协议定义的连接模型包括终端ria和上下文两个主要

概念。终端是g中的逻辑实体,能送和接收一种或多种媒体,在任何时候,一个终端属于且只能属于一个上下文,可以表示时隙、模拟线和rra1ir1流等。终

端类型主要有半永久性终端d信道或模拟线等和临时性终端如r流,用于承载语音、数据和视频信号或各种混合信号。用属性、事件、信号、统计表示终端特性,为了解决

屏蔽终端多样性问题,在协议中引入了包ag概念,将终端的各种特性参数组合成包。一个上下文是一些终端间的联系,它描述终端之间的拓扑关系及媒体混合/交换的参

数。朗讯公司l在协议中次提出概念,使协议具有更好的灵活性和可扩展性协议延用了这个概念,它可用dd命令创建,用su

v命令删除。

3什么是v

(virua1rivar):虚拟专用络,是一门络新技术,为我们提供了一种通过公用络安全地对企业内部专用络进行远程的连接方式。我们知道一个

络连接通常由三个部分组成:客户机、传输介质和服务器。v同样也由这三部分组成,不同的是v连接使用隧道作为传输通道,这个隧道是建立在公共络或专用络基础之

上的,如:ir或ira。要实现v连接,企业内部络中必须配置有一台基于ids或ids2srvr的v服务器,v服务器一方面连接企业内部专用络,

另一方面要连接到ir,也就是说v服务器必须拥有一个公用的i地址。当客户机通过v连接与专用络中的计算机进行通信时,先由is(ir服务提供商)将所有

的数据传送到v服务器,然后再由v服务器负责将所有的数据传送到目标计算机。v使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。客户机向

v服务器出请求,v服务器响应请求并向客户机出身份质询,客户机将加密的响应信息送到v服务器,v服务器根据用户数据库检查该响应,如果账户有效,v服务

器将检查该用户是否具有远程权限,如果该用户拥有远程的权限,v服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。

第二部分:

络电话的工作原理?

通过互联能打电话到普通电话上,关键是服务供应商要在互联上建立一套完善的电话关。所谓电话关,是指可以将ir和公共电话连接在一起的电脑电话系统,

其一端与ir连接,另一端是可以打进打出的电话系统。当用户上后,使用专用的络电话软件,可以通过麦克风和声卡将语音进行数字化压缩处理,并将信号传输到离目

的地最近的电话关,电话关将数字信号转换成可以在公共电话上传送的模拟信号,并接通对方电话号码,双方就可以通过互联电话关通话了。

2关的工作原理

关的工作原理是:当路由器的物理接口或路由模块的虚拟接口接收到数据包时,通过判断其目的地址与源地址是否在同一段,来决定是否转数据包,通常型办公室的

络设备只有两个接口,一个连接ir,另一个连接局域集线器或交换机,因此,一般设成缺省路由,只要不是内部段,全部转。

3守的功能

(一)在i电话中,守处于高层,是用来管理i电话关的。总的来说守的功能如下:一、rs功能rs部分的功能有用户认证、地址解析、带宽管理、路由管理、安全性管

理、区域管理。

、区域管理:由于ih络正在展中,络的拓扑结构各种各样,考虑到目前的展趋势,守在结构上应能适应各种结构,既能单守、单区域,也能多守、

多区域;在多区域情况下,各个区域即可以建立平等和直接的联系,也可通过上级守联系。每个区域可配置多个守,以用于备份和负荷分担。每个关保存两个守的地址,

关启动后定期向守rrq登录,如果登录失败,则向另一守登录。登录时守保存关的登录生存周期,时后未重新收到关的rrq则认为关故障,将其状态置为不可用。

2、用户认证:关用rq把用户卡号和密码给守,守再把卡号和密码送给计费认证中心,如果计费认证中心认证通过,守向关f,否则回rj。

3、地址解析:关在用户认证完成后,接受被叫号码,接收完被叫号码后把号码用rq送给守,守在路由表中查找目的关的i地址,如果目的关不在本区域中,向上级

守或邻近守请求在别的区域中查找。找到目的关后在f中返回其i地址,未找到返回rj。守到守的通信方式遵循h的建议。

4、带宽管理:由于每个关接入到ir的带宽有限,为了避免在话务高峰期造成络拥塞,影响所有的呼叫,守可设定进行带宽管理,关在rq中填入所需的带宽,守

判断有无足够的带宽资源,如果资源不足,就拒绝呼叫。由于呼叫所需的带宽取决于语言编码的类别、是否采取静音、每个r包带几帧数据等,因此,在rq中的带宽应按最大需

求申请,在通话开始时,再用

q修改所需带宽。

5、路由管理:为了提高络的可靠性和接通率,对话务流量进行分配,守提供路由管理。在路由表中,每个区号可以对应多个路由,路由具有优先级,选路时先选高优先级路由

,如果高优先级路由拥塞或不可达,再选低优先级的路由。当呼叫跨区域时,双方的守可以直接建立联系,也可以通过上级守联系,还可以通过别的同级守联系,方式灵

活,保证系统的灵活配置和络的可靠性。具有相同区号和路由特性的关可以组成关组,选路时可以针对关,也可以针对关组。对某一关组选路时,可以按每个关的

优先级,也可以按百分比在关间进行流量分配。为了在某些情况下能与即不在本守的控制下,也无法与其守通信的关互通,路由还可设为“独立关”,直接与之通信。

、安全性管理:由于ir是一个开放的络,容易遭到攻击,守应提供基于h5的安全机制,在相互通信的关和守之间、守与守之间设置密码,相互认证。为了

与别的设备互通或别的原因,守也可以不提供基于h5的安全性机制或也可以针对i地址进行认证,根据对方的i地址来判断对方是否是合法用户。

(二)呼叫处理功能

守除了进行rs功能外,还需要具有呼叫处理功能,利用h225进行呼叫的建立,能力交换,呼叫维护和结束呼叫等处理。对于--h业务,需要对守

起呼叫。再由守向被叫关起呼叫,守在进行呼叫处理的时侯,其处理能力会下降很多。

(三)用户界面和参数设置

用户界面和参数设置部分完成路由表、关数据表、关组数据表、本守数据设定等数据的输入、修改、保存和调试信息、日志信息、告警信息的管理和用户权限管理。

、各种数据的管理:守的数据主要有关数据表、关组数据表、守数据表、路由表、国家信息表五个表格和本守的各种设置,如rs端口号,是否采用h5,本守的

国家号和国家号前缀等。通过用户界面,可以实时修改大部分数据,少数参数如端口号等只能在系统初始化时设定,运行中禁止修改。所有的数据都可以保存在文件中,下次启动

可直接使用。

2、告警信息管理:提供告警窗口,在系统出现异常时打印告警信息。

3、调试信息管理:可以输入一些命令,来控制系统的运行和显示某些感兴趣的信息,如vs的内存信息,显示收到的消息等。

4、日志管理:记录守所有的操作,以便进行问题跟踪等。

5、用户权限管理:对操作设置各级权限,根据权限确定用户对守的操作。

(四)rdi1i程序

计费认证中心中保存着所有卡号用户的信息,当关向守送rq请求对用户进行认证时,g通过radi1i向计费认证中心送用户验证请求,等待计费认证中心的

验证结果。呼叫开始通话时,守收到关的通知后通过radi1i向计费认证中心送计费开始消息,通话结束后送计费结束消息。

(五)管功能

守s,通过运行s代理,与管中心建立联系。

(六)其他功能

、设备备份的考虑:为了保证系统的可靠性,每个区域应至少配置两个守,这两个守可以配置为一个为主,一个为从,也可以配置为两个平等的守,对区域内的关

进行负荷分担,同时互为备用。在正常情况下关只向主守登记,但主备守中都保存有该关的数据,当关向主守登记失败后,向备用守登记。

2、设备管理:为了在某一关或守出现故障时能及时改变路由,提高接通率,守应能及时现其管理下的关和与之联系的其它守的状态改变并以此改变路由数据。

守管理下的关不断向守送登记请求,每次登记的生存周期可以设得很短,当生存周期已到而未收到关新的登记请求时,守就可以认为关生故障,并不在向其分配

呼叫。与此同时,关不停向所有与之向连的守送服务请求,与之建立联系。当向对方出服务请求未收到对方的证实,重也过最大重次数时,认为对方送故障,这

时改变自己的路由表。

3、会话管理:关上的每一个呼叫在守中都有一与之对应的呼叫控制块,当关起呼叫时向守送rq,守在收到后rq创建呼叫控制块,呼叫结束时关向守送

drq,守释放呼叫控制块。为了避免在某些情况下守未收到关的drq而造成守无法释放呼叫,守定期向关送查询命令,检查呼叫是否存在,如果不存在,则释放呼叫

控制块。为了避免呼叫出守处理能力而造成守崩溃,守可以设一最大呼叫数,出的呼叫将被拒绝。对每个关也设一最大呼叫数,当该关上的呼叫数出门限值时呼

叫也将被拒绝。守还可以闭塞某一关或守,禁止其呼入或呼出。对每一守,还可以设一拥塞上限和拥塞下限,当呼叫出呼叫上限时认为该守已拥塞,不再向该守分

配呼叫;当呼叫数低于拥塞下限时,认为拥塞已经解除。

4软交换技术及其应用

软交换技术产生的背景

人类的通信包括话音、数据、视频与音频组合的多媒体三大内容。一直以来,上述三类通信业务均是分别由不同的通信来承载和疏通。电话承载和疏通语音业务、数据

承载和疏通数据业务,多媒体承载和疏通多媒体业务。

随着社会信息化程度的进一步加深,通信已经成为人们生活和工作中不可缺少的工具,人们对通信要求也不再仅仅是基本的语音通信业务和简单的浏览和收-ai1,人

们需要的是能够随时、随地、灵活地获取所需要的信息。因此要求电信运营商能够灵活地为用户提供丰富的电信业务,而基于由不同通信络提供不同业务的运营模式难以满足用

户“灵活地获取所需要的信息”的需求,只有构建一个‘全业务络即能够同时承载和疏通语音、数据、多媒体业务的络”才能满足用户日益增长的对通信业务的需求。

电话的历史最为悠久,其核心是电话交换机,电话交换机经历了磁石式、共用电池式、步进制、纵横制、程控制5个展阶段,其差别在于交换机的实现方式生了改变。

程控制电话交换机的出现是一个历史性的变革,它采用了先进的体系结构,其功能可以分为呼叫业务接入、路由选择交换和呼叫业务控制3部分,其中的交换和呼叫业务控制功

能均主要是通过程序软件来实现。但其采用的资源独占的电路交换方式,以及为通信的双方提供的对等的双向4bis固定带宽通道不适于承载突数据量大、上下行数据流量差

异大的数据业务。

数据的种类繁多,根据其采用的广域协议不同,可将其分为帧中继和i,由于i具有协议简单、终端设备价格低廉、以及基于i协议的业务的开展,

基于i协议的ir呈爆炸式展,一度成为了数据的代名词。i要求用户终端将用户数据信息均封装在i包中,i的核心设备路由器仅是完成“尽力而为”的i包

转的简单工作,它采用资源共享的包交换方式,根据业务量需要动态地占用上下行传输通道,因此i实际上仅是一个数据传送,其本身并不提供任何高层业务控制功能,若

在i上开放语音业务,必须额外增加电话业务的控制设备。值得一提的是,i中传送的i包能够承载任何用户数据信息,为实现语音、数据、多媒体流等多种信息在一个承载

中传送创造了条件。

可见,电话和数据均存在一定的先天缺陷、无法通过简单地改造而成为一个“全业务”,因此,为了能够实现在同一个络上同时提供语音、数据以及多媒体业务,即

通信业务的融合,产生了软交换sfsih技术。

2软交换技术介绍

2软交换络的总体结构

软交换技术采用了电话交换机的先进体系结构,并采用i中的i包来承载话音、数据以及多媒体流等多种信息。

一部程控电话交换机可以划分为业务接入、路由选择交换和业务控制3个功能模块,各功能模块通过交换机的内部交换络连接成一个整体。软交换技术是将上述3个功能

模块独立出来,分别由不同的物理实体实现,同时进行了一定的功能扩展,并通过统一的i络将各物理实体连接起来,构成了软交换络。

电话交换机的业务接入功能模块对应于软交换络的边缘接入层;路由选择交换功能模块对应于软交换络的控制层;业务控制模块对应于软交换络的业务应用层;i

↑返回顶部↑

书页/目录

女生耽美相关阅读: 火影:从掠夺属性开始拯救宇智波 我在山寨当军师 异界之纨绔子弟 物理魔法师 神说世界 回到古代做神探 别人逃荒我咸鱼 我能看到生死簿 狂龙神婿赵君昊凌霜月 狂龙神婿赵君昊